ShinyHunters не работает одним инструментом и не бьёт в одну щель. Пока по индустрии разлетался разбор взлома Nissan через 0day в Oracle PeopleSoft – там кластер UNC6240 занял продакшн за считанные часы одним unauth RCE и легитимным RMM – та же банда параллельно вела совершенно другую партию. Год, без единого эксплойта, тремя разными руками методично потрошила SaaS-экосистему вокруг Salesforce. Microsoft только что опубликовала карту этой кампании, и она выглядит как учебник по злоупотреблению доверием между приложениями – тем самым слоем, который классический identity-стек с его MFA и conditional access в упор не видит.
Первая рука – болтовня. С середины 2025-го по CRM-отделам разлетелась вишинг-волна: звонящие представлялись IT-поддержкой и убеждали сотрудника одобрить приложение под названием "Data Loader" – маскировку под штатный инструмент импорта Salesforce. Google отследила связку как UNC6040 (доступ) и UNC6240 (вымогательство) – да, тот самый UNC6240 из истории с Nissan, только здесь без единой строчки эксплойт-кода. В июне 2025-го под раздачу попал сам Google – увели публичные контактные данные из собственного Salesforce-инстанса компании. Дальше по списку – Chanel, Pandora, Adidas, Qantas, Allianz Life, бренды LVMH.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local